Google Cloud Identitätsanbieter konfigurieren
Sie können Cloud Identity, Google Workspace oder einen externen Identitätsanbieter wie Okta oder Azure AD verwenden, um Nutzer, Gruppen und die Authentifizierung zu verwalten.
Auf dieser Seite wird beschrieben, wie Sie Cloud Identity oder Google Workspace verwenden.
Wenn Sie Cloud Identity oder Google Workspace verwenden, erstellen Sie verwaltete Nutzerkonten, um den Zugriff auf Google Cloud -Ressourcen und Google SecOps zu steuern.
Sie erstellen IAM-Richtlinien, in denen Sie festlegen, welche Nutzer und Gruppen Zugriff auf Google SecOps-Funktionen haben. Diese IAM-Richtlinien werden mithilfe von vordefinierten Rollen und Berechtigungen definiert, die von Google SecOps bereitgestellt werden, oder mit benutzerdefinierten Rollen, die Sie erstellen.
Wenn Sie eine Google SecOps-Instanz mit Google Cloud-Diensten verknüpfen, müssen Sie eine Verbindung zu einem Google Cloud IdP konfigurieren. Die Google SecOps-Instanz wird direkt in Cloud Identity oder Google Workspace eingebunden, um Nutzer zu authentifizieren und die Zugriffssteuerung basierend auf Ihren konfigurierten IAM-Richtlinien zu erzwingen.
Weitere Informationen zum Erstellen von Cloud Identity- oder Google Workspace-Konten
Rolle gewähren, um die Anmeldung bei Google SecOps zu ermöglichen
In den folgenden Schritten wird beschrieben, wie Sie mit IAM eine bestimmte Rolle zuweisen, damit sich ein Nutzer in Google SecOps anmelden kann. Führen Sie die Konfiguration mit dem zuvor erstellten Google Cloud -Projekt durch, das an Google SecOps gebunden ist.
Weisen Sie Nutzern oder Gruppen, die Zugriff auf die Google Security Operations-Anwendung haben sollen, die Rolle Chronicle API Viewer (
roles/chronicle.viewer) zu.Im folgenden Beispiel wird einer bestimmten Gruppe die Rolle „Chronicle API Viewer“ zugewiesen:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"Ersetzen Sie Folgendes:
PROJECT_ID: mit der Projekt-ID des Google Security Operations-gebundenen Projekts, das Sie in Google Cloud -Projekt für Google Security Operations konfigurieren konfiguriert haben. Eine Beschreibung der Felder, mit denen ein Projekt identifiziert wird, finden Sie unter Projekte erstellen und verwalten.GROUP_EMAIL: Der E-Mail-Alias für die Gruppe, z. B.analyst-t1@example.com.
Führen Sie den folgenden Befehl aus, um einem bestimmten Nutzer die Rolle „Chronicle API Viewer“ zuzuweisen:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "principal:USER_EMAIL"Ersetzen Sie
USER_EMAILdurch die E-Mail-Adresse des Nutzers, z. B.alice@example.com.Beispiele dafür, wie Sie anderen Mitgliedern, z. B. einer Gruppe oder Domain, Rollen zuweisen, finden Sie in der Referenzdokumentation gcloud projects add-iam-policy-binding und Hauptkonto-IDs.
Konfigurieren Sie zusätzliche IAM-Richtlinien, um die Zugriffs- und Sicherheitsanforderungen Ihrer Organisation zu erfüllen.
Nächste Schritte
Führen Sie nach Abschluss der Schritte in diesem Dokument Folgendes aus:
Führen Sie die Schritte aus, um eine Google Security Operations-Instanz mit Google Cloud Diensten zu verknüpfen.
Wenn Sie die Audit-Protokollierung noch nicht eingerichtet haben, aktivieren Sie die Audit-Protokollierung für Google Security Operations.
Wenn Sie die Konfiguration für Google Security Operations vornehmen, führen Sie zusätzliche Schritte unter Nutzer in Google Security Operations bereitstellen, authentifizieren und zuordnen aus.
Wenn Sie den Zugriff auf Funktionen konfigurieren möchten, führen Sie zusätzliche Schritte unter Funktionszugriffssteuerung mit IAM konfigurieren und Google Security Operations-Berechtigungen in IAM aus.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten